根据风险管理服务商AON公司对网络安全的调查和预测，随着网络攻击在数量和规模上日益的增长，如今已经威胁到企业各方面的运营和发展，企业将被迫采取新的措施来解决和应对网络安全风险。企业需要更积极地将这些安全措施整合到风险管理当中。

　　这个调查报告概述了Aon公司对于企业将在2018年应对网络威胁以及其他网络趋势的一些具体行动。

　　“2017年，网络攻击者采用各种措施和手段造成了巨大的破坏，其中包括影响政治活动的钓鱼式攻击到全球范围内渗透到操作系统的勒索软件等。随着物联网(IOT)的发展，人们也目睹了对物联网设备的分布式拒绝服务(DDoS)攻击的严重影响。”AON公司首席执行官Jason J. Hogg表示。

　　他说，“这三种趋势将在2018年出现，我们预计网络风险将会加剧：一是企业越来越依赖技术，二是监管机构更加关注保护消费者数据，三是非实物资产价值上涨。而应对网络风险，企业需要对企业文化和风险管理框架采取综合的网络安全措施。企业的管理者必须采取协调、领导驱动的网络风险管理的方法，使他们能够更好地评估和降低所有企业职能部门的风险。”

　　对于2018年的预测，主要着眼于网络攻击日益加大的规模和影响，以及企业不得不承担更多网络攻击责任的方式，这将导致企业发展格局发生重大变化。该报告预测，首席风险官(CRO)的作用越来越大，企业将提高实施多因素认证的重要性，应对内部人士增加的威胁，以及扩大新领域的bug奖励计划。

　　网络保险

　　企业遭遇网络攻击，造成收益减少，业务中断，用户索赔，这些严峻的事实让企业的董事会和高管们意识到其承担的网络责任，企业将采用量身定做的网络保险政策进行更多的保护，而不能只依赖于其他安全策略的组件和措施。

　　越来越多的传统行业厂商购买网络保险，其中包括零售，金融、医疗保健、制造、运输、公用事业，以及石油和天然气等易受网络相关业务中断影响的其他用户。

　　物理和网络世界的冲突

　　随着物理世界和网络世界的相互冲突和碰撞，首席风险官将成为企业风险管理网络的关键角色。由于复杂的网络攻击会产生真实世界的后果，影响企业日益扩大的业务运营，因此企业管理者将会意识到网络风险的重要性。 2018年，企业首席风险官将在企业管理者中占有一席之地，与首席信息安全官(CISO)密切合作，帮助企业了解网络风险对企业业务的整体影响。

　　协调法规

　　企业对于网络攻击的监管范围越来越大，变得越来越复杂，这引发了协调的呼声。欧盟GDPR的法规对于在欧盟的公司的违规行为进行处罚，而在美国，大数据整合的企业将受到审查。

　　2018年，国际、国家以及地方各级的监管机构将更严格地执行现有的网络安全法规，并通过引入新的法规来增加企业的合规压力。希望看到欧盟委员会可以更好地解决企业的GDPR违规问题。在美国，收集、使用和保护数据的大数据组织(汇聚商和分销商)将会受到审查。

　　在监管压力明显增加的压力下，行业组织将敦促监管机构，要求调整网络法规。

　　网络犯罪分子和物联网

　　网络犯罪分子致力于攻击采用物联网的企业，特别是针对向全球组织提供服务的中小型企业。，

　　全球组织2018年在涉及企业如何使用物联网进行第三方风险管理时，将需要考虑日益复杂的问题。然而，报告预测这种情况将不会发生，因此，预计大型企业将遭遇针对物联网的小型供应商或承包商的网络攻击，并将其作为进入其网络的一种方式。这将唤起大型组织更新其第三方风险管理的方法，并促使中小型企业(SME)采取更好的安全措施，否则将面临失去业务的风险。

　　密码将会终结?

　　随着设置密码不断被黑客获取，网络攻击者能够绕开物理和生物识别技术，因此多因素身份认证变得比以往更加重要。

　　除了设置密码之后，企业正在实施从面部识别到指纹认证等新的认证方法。然而，这些防护技术仍然是脆弱的，因此报告预计，新一轮的公司将采用多因素身份验证，以打击针对生物识别技术的密码攻击。这将要求个人向验证工具提交多个证据。随着多因素身份验证的新需求以及消费者对不安全层面的需求，人们将看到行为生物识别技术的实施。

　　虚拟货币成为目标

　　网络攻击者开始针对以虚拟货币的交易进行攻击。汽车和金融服务等公司将在其安全计划中引入bug赏金平台。拥有忠诚、礼品和奖励计划的企业，如航空公司、零售商和服务提供商，将成为下一波采用者，因为网络攻击者的目标是使用虚拟货币的交易。

　　随着越来越多的组织采用这些方案，他们将需要外部技术专家的支持，以避免由于不适当配置的程序而引入新的风险。

　　勒索软件和加密货币

　　勒索软件攻击者将获得加密货币的帮助，而加密货币可以帮助勒索软件行业蓬勃发展。在2018年，勒索犯罪分子将会改进他们的策略。这些报告预测，利用良性恶意软件形式的攻击者(如引发DDoS攻击的软件或在数千个系统上发布展示广告)将引发大规模的勒索软件爆发。

　　网络攻击者将继续发动分布式攻击，以尽可能多地破坏系统，报告预测针对特定公司的攻击事件增加，勒索软件要求以加密货币进行付费。

　　尽管执法部门在跟踪攻击的能力方面变得更加先进，加密货币将为勒索软件产业继续提供支持(例如支付比特币)。

　　内部威胁

　　内部风险困扰着各种组织，因为这些公司低估了其严重的脆弱性和责任，因为主要的袭击事件发生在组织内部。2017年，企业对于内部风险的缓解策略投资不足，2018年也不例外。

　　根据调查，由于缺乏安全培训和技术控制，再加上劳动力的动态变化，企业内部人员所造成的网络攻击和事件日益频繁，但很多企业对此并没有对外完全公开。

　　许多公司对于内部安全事件做出的反应还很被动，并且仍然不知道内部人员风险对组织的真实成本和影响。

　　责任编辑：DJ编辑